DRF之JWT认证

一、JWT认证

JWT构成

JWT分为三段式：头、体、签名（head、payload、sgin）

头和体是可逆加密的，让服务器可以反解析出user对象，签名是不可逆加密，保证整个token的安全性的。

头、体、签名三部分，都是采用JSON格式的字符串，进行加密，可逆加密一般蚕蛹base64算法，不可逆加密一般采用hash（md5）算法

• 头中的内容是基本信息：项目信息等、

{
    'company': '项目信息',
    ...
}

• 体中的内容是关键信息：用户主键、用户名、签发时客户端信息（设备号，地址）、过期时间

{
    'user_id': 2,
    'username': 'xiaoyang',
    ...
}

• 签名中的内容是安全信息：头的加密结果 + 体的加密结果 + 服务器不对外公开的安全码 进行md5加密

{
	"head": "头的加密字符串",
	"payload": "体的加密字符串",
	"secret_key": "安全码"
}

过期时间配置：

import datetime
JWT_AUTH={
    'JWT_EXPIRATION_DELTA': datetime.timedelta(days=7), 	# 过期时间，手动配置
}

校验过程

1. 将token按 ‘ . ’ 拆分为三段字符串
2. 第一段：头加密字符串，一般不需要做任何处理
3. 第二段：体加密字符串，要反解出用户主键，通过主键从User表中就能得到登录用户，过期时间和设备信息都是安全信息，确保token没有过期，且是同一设备来的
4. 在用 第一段 + 第二段 + 服务器安全码 进行md5加密，与第三段 ”签名字符串“ 进行对比校验，通过后才能代表第二段校验得到的user对象是合法的登录用户

DRF项目的JWT认证开发流程

1. 用账号密码访问登录接口，登录接口逻辑中调用签发token算法，得到token，返回给客户端，客户端自己存到Cookies中
2. 校验token的算法应该写在认证类中（在认证类中调用），全局配置给认证组件，所有视图类请求，都会进行认证校验，所以请求带了token，就会反解析出user对象，在视图类中用request.user就能访问登录的用户。

第三方JWT认证

使用 JWT的第三方认证模块 django-rest-framework-jwk

安装：pip install djangorestframework-jwk

简单使用：

1、用户密码认证成功获取token

# 首先创建超级用户 》》python manage.py createsuperuser

from rest_framework_jwt.views import ObtainJSONWebToken, VerifyJSONWebToken, RefreshJSONWebToken

# 基类：JSONWebTokenAPIView 继承了APIView
# ObtainJSONWebToken,VerifyJSONWebToken,RefreshJSONWebToken都继承了JSONWebTokenAPIView

urlpatterns = [
    path('login/', ObtainJSONWebToken.as_view()),
]

# 使用post请求带着用户和密码去访问http://127.0.0.1:8000/login/，就会得到token

2、视图访问 JWT认证类

但是 第三方JWT的认证必须要在请求头中添加 Authorization 和对应的 JWT +token参数，才会进行认证，否则就不认证（不好用需要从新写）

from rest_framework.views import APIView
from rest_framework.response import Response
from rest_framework_jwt.authentication import JSONWebTokenAuthentication

class TestView(APIView):

    # 局部配置
    authentication_classes = [JSONWebTokenAuthentication]

    def get(self, request):
        return Response('认证测试')

# 全局配置需要在settings.py配置
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'rest_framework_jwt.authentication.JSONWebTokenAuthentication',
    ]
}

自定义JWT认证类

由于第三方的 JWT认证必须要在请求中添加 Authorization字段才会认证，否则不认证直接通过，所以不使用它，自己写一个基于第三方JWT的认证类，这样请求头中没有Authorization字段，就会认证失败。

# 由于使用的是基于第三方的认证，所有还是要继承它，并且使用一些它的方法，而且还要重写authenticate方法
# app_auth.py
from rest_framework_jwt.authentication import BaseJSONWebTokenAuthentication
from rest_framework_jwt.utils import jwt_decode_handler
from rest_framework import exceptions

class TestAuth(BaseJSONWebTokenAuthentication):

    def authenticate(self, request):
        # 获取JWT的token值
        jwt_value = request.META.get('HTTP_AUTHORIZATION')

        try:
            # 认证
            payload = jwt_decode_handler(jwt_value)
        except Exception:
            raise exceptions.AuthenticationFailed('认证失败')

        # 获取用户对象
        user = self.authenticate_credentials(payload)
        return user, None

# views.py
# 局部使用
from rest_framework.views import APIView
from rest_framework.response import Response
from app01.app_auth import TestAuth

class TestView(APIView):
    # 局部配置
    authentication_classes = [TestAuth]

    def get(self, request):
        return Response('认证测试')

# 全局配置需要在settings.py配置
REST_FRAMEWORK = {
    'DEFAULT_AUTHENTICATION_CLASSES': [
        'app01.app_auth.TestAuth',
    ]
}

二、手动签发token（多方式登录）

当用户使用用户名，手机号，邮箱等都可以登录

如：前端需要传的数据格式

{
    "username":"xiaoyang/13313311333/133@qq.com",
	"password":"111111ys"
}

url

# post请求调用LoginView视图中的login函数
re_path('login/', views.LoginView.as_view({'post': 'login'}))

views.py

from rest_framework.viewsets import ViewSet
from rest_framework.response import Response
from app01.ser import UserModelSerializer

class LoginView(ViewSet):

    def login(self, request):

        # 序列化一个类
        login_ser = UserModelSerializer(data=request.data, context={})

        # 验证，会调用序列化器中的钩子函数
        if login_ser.is_valid():
            token = login_ser.context.get('token')
            username = login_ser.context.get('username')

            # 验证成功返回用户名和token
            return Response({'username': username, 'token': token})
        else:
            # 验证失败返回错误信息
            return Response(login_ser.errors)

ser.py

from rest_framework import serializers
from rest_framework.exceptions import ValidationError
from rest_framework_jwt.utils import jwt_encode_handler, jwt_payload_handler
from app01.models import User
import re

class UserModelSerializer(serializers.ModelSerializer):
    # 重新覆盖username字段，数据库中它是唯一的（unique），post会认为是你自己保存数据，自己校验没过
    username = serializers.CharField(max_length=16)

    class Meta:
        model = User
        fields = ['username', 'password']

    # 全局钩子
    def validate(self, attrs):
        username = attrs.get('username')
        password = attrs.get('password')

        if re.match(r'^1[3-9]\d{9}', username):
            # 电话登录
            user = User.objects.filter(phone=username).first()
        elif re.match(r'.*@.*', username):
            # 邮箱登录
            user = User.objects.filter(email=username).first()
        else:
            # 用户名登录
            user = User.objects.filter(username=username).first()

        if user:
            # 校验密码，因为用的是auth模块，所以使用check_password
            user.check_password(password)

            payload = jwt_payload_handler(user)  # 放入用户生成payload
            token = jwt_encode_handler(payload)  # 放入payload生成token

            self.context['token'] = token
            self.context['username'] = user.username

            return attrs
        else:
            raise ValidationError('用户名或密码错误')